search

codaqui / boletim-diario-seguranca

Receba notificações todos os dias as 10 da manhã, siga esse repositório.
8 stars 0 forks source link

Boletim Diário: 25/03/2024 #385

Closed github-actions[bot] closed 8 months ago

github-actions[bot] commented 8 months ago

:point_down:

github-actions[bot] commented 8 months ago

Boletim de Segurança

:arrow_right: Atlassian corrige falha crítica no Bamboo Data Center e Server. A Atlassian lançou correções para mais de duas dúzias de falhas de segurança, incluindo um bug crítico que afeta o Bamboo Data Center e Server, que pode ser explorado sem a necessidade de interação do usuário. Identificada como CVE-2024-1597, a vulnerabilidade recebeu uma pontuação CVSS de 10.0, indicando severidade máxima. Descrita como uma falha de injeção SQL, ela está enraizada em uma dependência chamada org.postgresql:postgresql, o que, segundo a empresa, “apresenta um risco avaliado menor” apesar da criticidade. “A vulnerabilidade da dependência org.postgresql:postgresql […] poderia permitir que um atacante não autenticado expusesse ativos em seu ambiente suscetíveis à exploração, o que tem alto impacto na confidencialidade, alto impacto na integridade, alto impacto na disponibilidade e não requer interação do usuário”, disse a Atlassian. De acordo com uma descrição da falha no Banco de Dados Nacional de Vulnerabilidades (NVD) do NIST, “pgjdbc, o Driver JDBC do PostgreSQL, permite que o atacante injete SQL se estiver usando PreferQueryMode=SIMPLE”. A empresa também enfatizou que o Bamboo e outros produtos Atlassian Data Center não são afetados pela CVE-2024-1597, pois não usam o PreferQueryMode=SIMPLE em suas configurações de conexão de banco de dados SQL.

:arrow_right: Ivanti lança correções urgentes para falha crítica de execução remota de código.A Ivanti divulgou detalhes de uma falha crítica de execução remota de código que afeta o Standalone Sentry, instando os clientes a aplicarem as correções imediatamente para se protegerem contra possíveis ameaças cibernéticas. Identificada como CVE-2023-41724, a vulnerabilidade possui uma pontuação CVSS de 9.6. “Um ator de ameaça não autenticado pode executar comandos arbitrários no sistema operacional subjacente do appliance dentro da mesma rede física ou lógica”, disse a empresa. A falha impacta todas as versões suportadas 9.17.0, 9.18.0 e 9.19.0, bem como versões anteriores. A empresa informou que disponibilizou um patch (versões 9.17.1, 9.18.1 e 9.19.1) que pode ser baixado através do portal de download padrão. A Ivanti enfatizou que não tem conhecimento de nenhum cliente afetado pela CVE-2023-41724 e acrescentou que “atores de ameaças sem um certificado de cliente TLS válido inscrito através do EPMM não podem explorar diretamente essa questão na internet”. Falhas de segurança recentemente divulgadas no software da Ivanti foram objeto de exploração por pelo menos três diferentes clusters de espionagem cibernética suspeitos de ligação com a China, rastreados como UNC5221, UNC5325 e UNC3886.

:arrow_right: Malware AndroxGh0st visa aplicações laravel para roubo de dados sensíveis. Pesquisadores de cibersegurança lançaram luz sobre uma ferramenta conhecida como AndroxGh0st, usada para atacar aplicações Laravel e roubar dados sensíveis. Ela funciona escaneando e extraindo informações importantes de arquivos .env, revelando detalhes de login associados à AWS e Twilio. Classificado como um quebrador de SMTP, ele explora o SMTP usando várias estratégias, como exploração de credenciais, implantação de web shell e varredura de vulnerabilidades. O AndroxGh0st foi detectado em atividade desde pelo menos 2022, com atores de ameaças aproveitando-o para acessar arquivos de ambiente Laravel e roubar credenciais para várias aplicações baseadas em nuvem, como Amazon Web Services (AWS), SendGrid e Twilio. Cadeias de ataque envolvendo o malware Python são conhecidas por explorar falhas de segurança conhecidas no Apache HTTP Server, Laravel Framework e PHPUnit para obter acesso inicial e para escalonamento de privilégios e persistência. Em janeiro deste ano, agências de cibersegurança e inteligência dos EUA alertaram sobre atacantes implantando o malware AndroxGh0st para criar uma botnet para “identificação de vítimas e exploração em redes alvo”. Androxgh0st é projetado para exfiltrar dados sensíveis de várias fontes, incluindo arquivos .env, bancos de dados e credenciais de nuvem. Isso permite que atores de ameaças entreguem cargas úteis adicionais a sistemas comprometidos.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/